Kebocoran Data TriZetto Paparkan Informasi 3,4 Juta Orang, Akses Tidak Sah Berlangsung Hampir Setahun

Perusahaan teknologi informasi kesehatan TriZetto Provider Solutions mengungkap terjadinya insiden kebocoran data yang memengaruhi lebih dari 3,4 juta individu. Perusahaan yang mengembangkan perangkat lunak serta layanan untuk perusahaan asuransi kesehatan dan penyedia layanan medis tersebut melaporkan bahwa informasi sensitif milik jutaan orang sempat diakses oleh pihak tidak berwenang melalui sebuah portal web internal.

TriZetto, yang sejak 2014 beroperasi di bawah naungan perusahaan teknologi Cognizant, menyatakan bahwa aktivitas mencurigakan pertama kali terdeteksi pada 2 Oktober 2025. Setelah menemukan indikasi tersebut, perusahaan segera memulai penyelidikan internal dengan melibatkan pakar keamanan siber eksternal untuk mengidentifikasi sumber dan ruang lingkup insiden.

Hasil investigasi menunjukkan bahwa akses tidak sah terhadap sistem perusahaan ternyata telah berlangsung jauh lebih lama dari yang diperkirakan sebelumnya. Analisis forensik menemukan bahwa pelaku ancaman telah memperoleh akses sejak 19 November 2024, hampir satu tahun sebelum aktivitas tersebut akhirnya terdeteksi oleh sistem keamanan perusahaan. Selama periode tersebut, pihak yang tidak berwenang dapat mengakses sejumlah catatan transaksi yang berkaitan dengan proses verifikasi kelayakan asuransi kesehatan.

Transaksi verifikasi kelayakan ini merupakan bagian penting dari alur administrasi layanan kesehatan. Rumah sakit, klinik, dan penyedia layanan medis biasanya menggunakan proses tersebut untuk memastikan bahwa pasien memiliki cakupan asuransi yang valid sebelum tindakan medis dilakukan. Catatan transaksi tersebut dapat memuat berbagai informasi administratif yang digunakan dalam proses konfirmasi antara penyedia layanan kesehatan dan perusahaan asuransi.

Menurut pengungkapan resmi perusahaan, jenis informasi yang terekspos tidak sama pada setiap individu. Namun data yang dapat diakses oleh pelaku ancaman mencakup sejumlah kategori informasi pribadi yang sensitif. Di antaranya termasuk nama lengkap, alamat tempat tinggal, tanggal lahir, nomor identifikasi jaminan sosial, nomor keanggotaan asuransi kesehatan, serta identifier penerima manfaat Medicare. Selain itu, beberapa catatan juga memuat nama penyedia layanan kesehatan, nama perusahaan asuransi, serta berbagai informasi demografis, kesehatan, dan asuransi terkait individu yang bersangkutan.

Skala kebocoran data ini tergolong signifikan. Berdasarkan dokumen pengungkapan yang disampaikan kepada Kantor Jaksa Agung Negara Bagian Maine di Amerika Serikat, jumlah individu yang terdampak mencapai 3.433.965 orang. Angka tersebut menempatkan insiden ini sebagai salah satu kebocoran data besar yang melibatkan perusahaan penyedia layanan teknologi kesehatan.

TriZetto menyatakan bahwa meskipun berbagai informasi pribadi berhasil diakses oleh pelaku ancaman, perusahaan tidak menemukan indikasi bahwa data keuangan seperti informasi kartu pembayaran, nomor rekening bank, atau detail finansial lainnya turut terekspos dalam insiden ini. Perusahaan juga menyampaikan bahwa hingga saat ini belum ada bukti yang menunjukkan bahwa data yang dicuri telah digunakan oleh pelaku kejahatan siber untuk melakukan penyalahgunaan identitas atau aktivitas kriminal lainnya.

Meski demikian, perusahaan tetap mengambil sejumlah langkah mitigasi untuk mengurangi potensi risiko terhadap individu yang terdampak. Salah satu langkah yang diambil adalah memberikan layanan pemantauan kredit dan perlindungan identitas selama 12 bulan secara gratis bagi para penerima notifikasi. Layanan tersebut disediakan melalui perusahaan manajemen risiko Kroll, yang dikenal menyediakan solusi perlindungan identitas bagi korban kebocoran data.

Proses pemberitahuan kepada organisasi penyedia layanan kesehatan yang terdampak dilakukan pada 9 Desember 2025. Namun notifikasi langsung kepada individu yang datanya mungkin terekspos baru mulai dikirimkan pada awal Februari 2026. Jeda waktu beberapa bulan antara deteksi insiden dan pemberitahuan kepada konsumen ini menimbulkan pertanyaan mengenai proses investigasi internal yang dilakukan perusahaan sebelum pengungkapan publik dilakukan.

Sejumlah media teknologi mencoba meminta klarifikasi tambahan mengenai detail insiden tersebut, termasuk mengenai penyebab keterlambatan pemberitahuan kepada konsumen. Hingga laporan tersebut dipublikasikan, pihak TriZetto belum memberikan tanggapan lebih lanjut mengenai pertanyaan tersebut.

Sampai saat ini juga belum ada kelompok ransomware yang secara terbuka mengklaim bertanggung jawab atas serangan tersebut. Selain itu, para peneliti keamanan belum menemukan indikasi bahwa data yang terkait dengan TriZetto telah dipublikasikan atau diperjualbelikan di forum bawah tanah atau pasar gelap digital yang sering digunakan untuk mendistribusikan data hasil kebocoran.

Absennya klaim dari kelompok ransomware membuat sifat serangan ini masih belum sepenuhnya jelas. Dalam banyak kasus kebocoran data besar, kelompok penyerang biasanya mempublikasikan data korban sebagai bentuk tekanan untuk memaksa pembayaran tebusan. Namun hingga saat ini tidak ada bukti bahwa pendekatan semacam itu digunakan dalam insiden yang melibatkan TriZetto.

Cognizant, perusahaan induk TriZetto, sebelumnya juga pernah dikaitkan dengan beberapa insiden keamanan siber dalam beberapa tahun terakhir. Pada tahun 2020, perusahaan tersebut sempat menjadi bahan rumor terkait kemungkinan serangan ransomware yang dikaitkan dengan kelompok Maze. Meski demikian, detail lengkap mengenai insiden tersebut tidak pernah sepenuhnya dipublikasikan secara terbuka.

Pada tahun 2025, Cognizant kembali menjadi sorotan setelah perusahaan produk konsumen Clorox mengajukan gugatan hukum yang menuduh perusahaan IT tersebut melakukan kelalaian serius dalam pengelolaan keamanan jaringan. Gugatan tersebut berkaitan dengan serangan rekayasa sosial yang terjadi pada September 2023, yang diduga memungkinkan kelompok peretas Scattered Spider memperoleh akses ke jaringan perusahaan.

Dalam konteks industri teknologi kesehatan, insiden yang melibatkan TriZetto kembali menyoroti sensitivitas data yang diproses oleh perusahaan penyedia infrastruktur digital untuk sektor medis dan asuransi. Sistem yang digunakan untuk memproses verifikasi kelayakan asuransi dan administrasi layanan kesehatan biasanya menyimpan berbagai informasi pribadi yang sangat bernilai bagi pelaku kejahatan siber.

Data seperti nomor identifikasi jaminan sosial, informasi asuransi kesehatan, serta catatan demografis memiliki nilai tinggi di pasar gelap digital karena dapat digunakan untuk berbagai bentuk penyalahgunaan identitas. Selain itu, kombinasi informasi pribadi dan administratif juga dapat dimanfaatkan dalam skema penipuan yang menargetkan sistem layanan kesehatan atau klaim asuransi.

TriZetto menyatakan bahwa setelah insiden ini terungkap, perusahaan telah mengambil langkah tambahan untuk memperkuat keamanan sistem yang mereka operasikan. Perusahaan juga melaporkan insiden tersebut kepada otoritas penegak hukum yang relevan sebagai bagian dari proses penanganan insiden.

Meskipun belum ada indikasi penyalahgunaan data hingga saat ini, insiden tersebut menunjukkan bagaimana akses tidak sah yang berlangsung dalam jangka waktu panjang dapat terjadi tanpa segera terdeteksi. Dalam kasus ini, aktivitas penyerang berlangsung hampir satu tahun sebelum akhirnya ditemukan oleh sistem pemantauan keamanan perusahaan.

Bagi organisasi yang mengelola data sensitif dalam skala besar, insiden semacam ini sering menjadi pengingat mengenai pentingnya pemantauan sistem secara berkelanjutan serta deteksi aktivitas anomali dalam jaringan internal. Ketika akses tidak sah dapat bertahan dalam waktu lama tanpa terdeteksi, ruang lingkup data yang dapat terekspos biasanya meningkat secara signifikan.

Dengan lebih dari 3,4 juta individu terdampak, kebocoran data TriZetto menjadi salah satu insiden besar yang kembali menyoroti risiko keamanan dalam ekosistem teknologi informasi sektor kesehatan. Hingga saat ini penyelidikan mengenai bagaimana pelaku ancaman memperoleh akses awal ke sistem perusahaan masih belum diungkap secara rinci kepada publik.

APT36 Gunakan AI untuk Produksi Malware Massal - Strategi Baru “Distributed Denial of Detection”

Sebuah kelompok peretas yang berafiliasi dengan Pakistan, dikenal dengan nama Transparent Tribe atau APT36, dilaporkan mulai memanfaatkan alat pengembangan berbasis kecerdasan buatan untuk mempercepat produksi malware dalam skala besar. Penelitian terbaru dari perusahaan keamanan siber Bitdefender menunjukkan bahwa kelompok ini tidak lagi hanya mengandalkan teknik eksploitasi tradisional, tetapi juga memanfaatkan kemampuan model bahasa besar untuk menghasilkan berbagai varian program berbahaya secara cepat, meskipun kualitas teknisnya sering kali tidak terlalu tinggi.

Alih-alih berfokus pada kecanggihan teknis dari setiap sampel malware, pendekatan baru ini lebih menekankan pada volume. Para peneliti Bitdefender menjelaskan bahwa strategi tersebut menghasilkan sejumlah besar implant atau binary berbahaya yang dapat dibuang setelah digunakan. Banyak dari malware tersebut ditulis menggunakan bahasa pemrograman yang relatif jarang digunakan dalam pengembangan malware konvensional, seperti Nim, Zig, dan Crystal. Selain itu, infrastruktur komunikasi yang digunakan juga memanfaatkan layanan cloud yang sah seperti Slack, Discord, Supabase, dan Google Sheets agar lalu lintas jaringan terlihat seperti aktivitas normal.

Para peneliti keamanan Radu Tudorica, Adrian Schipor, Victor Vrabie, Marius Baciu, dan Martin Zugec menggambarkan fenomena ini sebagai bentuk industrialisasi malware yang dibantu oleh kecerdasan buatan. Menurut mereka, pergeseran ini bukanlah peningkatan signifikan dalam kecanggihan teknis, melainkan perubahan strategi operasional. Dengan bantuan AI, pelaku ancaman dapat menghasilkan sejumlah besar binary yang ditulis dalam berbagai bahasa pemrograman berbeda, sehingga menyulitkan sistem keamanan tradisional untuk mengenali pola yang konsisten.

Bitdefender menyebut pendekatan tersebut sebagai Distributed Denial of Detection atau DDoD. Konsep ini secara sengaja membanjiri lingkungan target dengan berbagai sampel malware yang berbeda, sehingga sistem keamanan harus memproses terlalu banyak variasi kode. Tujuannya bukan untuk menghindari deteksi melalui teknik yang sangat kompleks, tetapi dengan menciptakan jumlah artefak berbahaya yang sangat besar sehingga analisis berbasis tanda tangan menjadi kurang efektif.

Perkembangan model bahasa besar atau large language models turut mempercepat tren ini. Dengan kemampuan menghasilkan kode secara otomatis, AI dapat membantu pelaku ancaman menulis program dalam bahasa yang sebelumnya tidak mereka kuasai. Dalam banyak kasus, kode inti dapat ditransfer dari bahasa pemrograman populer ke bahasa lain yang lebih jarang digunakan. Hal ini secara signifikan menurunkan hambatan teknis bagi pelaku serangan dan mempersempit kesenjangan keahlian yang sebelumnya menjadi penghalang dalam pengembangan malware.

Kampanye terbaru yang dianalisis oleh Bitdefender menunjukkan bahwa target utama kelompok ini adalah institusi pemerintah India serta beberapa kedutaan besar India di berbagai negara. Selain itu, sejumlah target lain termasuk institusi pemerintah Afghanistan dan beberapa perusahaan swasta juga ditemukan dalam daftar sasaran, meskipun dengan intensitas yang lebih rendah. Untuk mengidentifikasi target bernilai tinggi, kelompok ini diketahui memanfaatkan platform profesional LinkedIn sebagai sarana pengumpulan informasi awal.

Rantai infeksi yang digunakan dalam serangan ini masih mengikuti pola rekayasa sosial yang relatif umum. Banyak serangan dimulai dengan email phishing yang berisi file shortcut Windows atau LNK yang dikemas dalam arsip ZIP atau image ISO. Dalam beberapa kasus lain, korban menerima dokumen PDF yang menampilkan tombol “Download Document”. Ketika tombol tersebut diklik, korban diarahkan ke situs yang dikendalikan oleh penyerang yang kemudian mengunduh arsip ZIP yang berisi file berbahaya.

Setelah file LNK dijalankan, skrip PowerShell akan dieksekusi langsung di memori sistem. Skrip ini bertugas mengunduh dan menjalankan backdoor utama yang memberi akses kepada penyerang. Dari titik tersebut, pelaku dapat melakukan berbagai aktivitas pasca-kompromi, termasuk penyebaran alat simulasi serangan yang sudah dikenal luas di komunitas keamanan seperti Cobalt Strike dan Havoc. Penggunaan alat-alat ini menunjukkan bahwa kelompok tersebut mengadopsi pendekatan hybrid, memadukan malware kustom dengan framework ofensif yang sudah tersedia secara publik.

Analisis Bitdefender juga mengidentifikasi berbagai komponen malware tambahan yang digunakan dalam operasi ini. Salah satunya adalah Warcode, sebuah loader shellcode yang ditulis dalam bahasa Crystal dan digunakan untuk memuat agen Havoc langsung ke memori sistem. Varian eksperimental lain bernama NimShellcodeLoader memiliki fungsi serupa, tetapi digunakan untuk menanamkan beacon Cobalt Strike ke dalam sistem target.

Komponen lain yang teridentifikasi adalah CreepDropper, malware berbasis .NET yang berfungsi sebagai pengantar payload tambahan. Payload tersebut termasuk SHEETCREEP, sebuah infostealer berbasis Go yang menggunakan Microsoft Graph API untuk komunikasi command-and-control, serta MAILCREEP, backdoor berbasis C# yang memanfaatkan Google Sheets sebagai saluran komunikasi dengan server penyerang. Kedua keluarga malware ini sebelumnya juga dianalisis oleh peneliti dari Zscaler ThreatLabz pada awal tahun 2026.

Dalam infrastruktur yang lebih kompleks, para peneliti menemukan SupaServ, sebuah backdoor berbasis Rust yang menggunakan platform Supabase sebagai jalur komunikasi utama dengan server kontrol. Jika koneksi utama gagal, malware ini dapat beralih menggunakan Firebase sebagai jalur cadangan. Analisis kode menunjukkan adanya penggunaan karakter emoji Unicode, yang oleh para peneliti dianggap sebagai indikasi bahwa kode tersebut kemungkinan dihasilkan atau dibantu oleh sistem AI.

Selain itu, malware lain bernama LuminousStealer juga ditemukan dalam kampanye ini. Program ini ditulis dalam bahasa Rust dan berfungsi sebagai pencuri data yang mengumpulkan berbagai jenis file dari sistem korban, termasuk dokumen, gambar, arsip, dan spreadsheet. File yang dikumpulkan kemudian dikirimkan ke layanan penyimpanan cloud seperti Firebase dan Google Drive untuk proses eksfiltrasi.

Peneliti juga menemukan dua varian backdoor lain yang memiliki fungsi serupa tetapi ditulis dalam bahasa berbeda. CrystalShell, yang dikembangkan menggunakan bahasa Crystal, mampu menargetkan sistem operasi Windows, Linux, dan macOS. Malware ini menggunakan ID channel Discord yang telah dikodekan secara langsung untuk berkomunikasi dengan server kontrol. Dalam beberapa varian, Slack juga digunakan sebagai saluran komunikasi alternatif. Sementara itu, ZigShell merupakan versi yang ditulis menggunakan bahasa Zig dan memanfaatkan Slack sebagai infrastruktur command-and-control utama.

Beberapa komponen tambahan yang lebih spesifik juga ditemukan dalam rangkaian alat ini. CrystalFile merupakan interpreter perintah sederhana yang terus memantau sebuah file teks pada sistem korban dan menjalankan perintah yang ditemukan di dalamnya menggunakan command prompt Windows. Ada pula LuminousCookies, sebuah injector khusus yang dirancang untuk mengekstrak cookie browser, kata sandi, dan informasi pembayaran dari browser berbasis Chromium dengan melewati mekanisme enkripsi yang terikat pada aplikasi. Malware lain bernama BackupSpy berfungsi memantau sistem file lokal serta perangkat penyimpanan eksternal untuk mencari data bernilai tinggi.

Sementara itu, ZigLoader berfungsi sebagai loader khusus yang dapat mendekripsi dan mengeksekusi shellcode langsung di memori. Para peneliti juga menemukan modifikasi dari framework command-and-control open source GateSentinel yang digunakan sebagai bagian dari infrastruktur operasi kelompok tersebut.

Meskipun jumlah alat yang digunakan cukup banyak, Bitdefender menilai bahwa pergeseran APT36 menuju pendekatan yang disebut vibeware justru menunjukkan kemunduran dari sisi kualitas teknis. Banyak dari sampel malware yang dianalisis ditemukan memiliki ketidakstabilan dan kesalahan logika dalam implementasi kodenya. Hal ini menunjukkan bahwa produksi malware yang dibantu AI sering kali mengorbankan kualitas demi kecepatan dan volume.

Namun demikian, risiko utama dari tren ini bukan terletak pada kecanggihan setiap sampel malware, melainkan pada skalanya. Dengan kemampuan AI untuk menghasilkan kode secara cepat, pelaku ancaman dapat memperbanyak jumlah alat yang mereka gunakan dalam waktu singkat. Kombinasi antara penggunaan bahasa pemrograman niche dan penyalahgunaan layanan cloud yang sah memungkinkan lalu lintas berbahaya tersembunyi di dalam komunikasi jaringan yang terlihat normal.

Para peneliti menekankan bahwa konvergensi antara dua tren ini yakni penggunaan bahasa pemrograman yang jarang digunakan serta pemanfaatan layanan tepercaya sebagai infrastruktur komunikasi menciptakan tantangan baru bagi sistem keamanan modern. Bahkan kode yang secara teknis biasa saja dapat mencapai tingkat keberhasilan operasional yang tinggi jika jumlahnya cukup banyak untuk membanjiri sistem pemantauan keamanan.

Serangan Hacktivist Meledak Setelah Operasi Militer AS–Israel ke Iran, Ratusan Target Diserang dalam Gelombang DDoS Global

Lonjakan aktivitas hacktivist dilaporkan terjadi secara luas setelah operasi militer terkoordinasi antara Amerika Serikat dan Israel terhadap Iran yang dikenal dengan nama sandi Epic Fury dan Roaring Lion. Peneliti keamanan siber memperingatkan bahwa konflik geopolitik tersebut kini juga memicu eskalasi di ranah digital, dengan serangkaian serangan siber yang menargetkan organisasi pemerintah, infrastruktur publik, dan sektor industri di berbagai negara.

Laporan terbaru dari perusahaan keamanan siber Radware menyebutkan bahwa ancaman hacktivist di kawasan Timur Tengah menunjukkan pola yang sangat tidak seimbang, dengan dua kelompok utama yang mendominasi sebagian besar aktivitas serangan dalam periode singkat. Kelompok bernama Keymous+ dan DieNet dilaporkan bertanggung jawab atas hampir 70 persen seluruh aktivitas serangan yang tercatat antara 28 Februari hingga 2 Maret.

Serangan pertama dalam gelombang tersebut terjadi pada 28 Februari 2026 ketika kelompok Hider Nex, yang juga dikenal sebagai Tunisian Maskers Cyber Force, meluncurkan serangan distributed denial-of-service (DDoS). Menurut analisis dari Orange Cyberdefense, Hider Nex merupakan kelompok hacktivist asal Tunisia yang muncul pada pertengahan 2025 dan dikenal mendukung agenda pro-Palestina. Kelompok ini memanfaatkan strategi hack-and-leak, yakni menggabungkan serangan DDoS dengan pembobolan sistem untuk kemudian membocorkan data sensitif sebagai bagian dari kampanye geopolitik mereka.

Dalam periode empat hari tersebut, peneliti mencatat total 149 klaim serangan DDoS hacktivist yang menargetkan 110 organisasi berbeda di 16 negara. Aktivitas ini dilakukan oleh setidaknya 12 kelompok berbeda. Tiga kelompok utama  Keymous+, DieNet, dan NoName057(16)  secara kolektif menyumbang sekitar 74,6 persen dari seluruh aktivitas serangan yang teridentifikasi.

Distribusi serangan menunjukkan konsentrasi yang sangat tinggi di kawasan Timur Tengah. Dari seluruh klaim serangan yang tercatat, sebanyak 107 insiden terjadi di wilayah tersebut. Sebagian besar target adalah infrastruktur publik dan lembaga negara, menunjukkan bahwa konflik militer yang terjadi turut memicu respons digital dari berbagai kelompok hacktivist.

Secara geografis, tiga negara menjadi pusat utama serangan dalam periode tersebut. Kuwait mencatat sekitar 28 persen dari total klaim serangan, diikuti Israel dengan 27,1 persen dan Yordania dengan 21,5 persen. Sementara itu, wilayah Eropa mencatat sekitar 22,8 persen dari total aktivitas serangan global selama periode yang sama.

Jika dilihat dari sektor yang disasar, hampir setengah dari organisasi yang menjadi target berasal dari sektor pemerintahan. Sekitar 47,8 persen target secara global merupakan institusi pemerintah, diikuti sektor keuangan sebesar 11,9 persen dan sektor telekomunikasi sekitar 6,7 persen. Pola ini mencerminkan karakteristik serangan hacktivist yang sering kali berfokus pada simbol kekuasaan negara atau infrastruktur strategis yang memiliki dampak politik.

Radware menilai bahwa konflik yang berkembang di wilayah tersebut kini memperluas front digital bersamaan dengan eskalasi militer di lapangan. Aktivitas hacktivist tidak lagi terbatas pada satu negara atau satu target tertentu, melainkan berkembang menjadi kampanye yang melibatkan banyak kelompok dan menjangkau sejumlah negara secara simultan.

Selain kelompok yang paling dominan, beberapa kelompok lain juga tercatat terlibat dalam operasi siber yang bersifat disruptif. Data yang dihimpun oleh perusahaan intelijen ancaman seperti Flashpoint, Palo Alto Networks melalui tim Unit 42, serta Radware menunjukkan keterlibatan berbagai kelompok termasuk Nation of Saviors, Conquerors Electronic Army, Sylhet Gang, 313 Team, Handala Hack, Cyber Islamic Resistance, Dark Storm Team, FAD Team, Evil Markhors, dan PalachPro.

Sejumlah kelompok yang memiliki afiliasi atau simpati terhadap Rusia juga mengklaim telah melakukan intrusi terhadap jaringan militer Israel. Dua kelompok yang dikenal sebagai Cardinal dan Russian Legion menyatakan telah berhasil menembus jaringan militer Israel, termasuk sistem pertahanan rudal Iron Dome. Namun klaim tersebut belum diverifikasi secara independen oleh pihak lain.

Selain serangan DDoS dan defacement situs web, para peneliti keamanan juga mengamati munculnya kampanye phishing yang menargetkan pengguna ponsel di Israel. Peneliti dari CloudSEK melaporkan adanya aplikasi tiruan dari sistem peringatan darurat Israel, RedAlert, yang digunakan untuk mendistribusikan malware pengawasan.

Dalam kampanye tersebut, korban dimanipulasi untuk mengunduh file APK berbahaya dengan dalih pembaruan darurat selama masa konflik. Aplikasi tersebut menampilkan antarmuka sistem peringatan yang tampak sah, tetapi sebenarnya menyembunyikan mekanisme pengawasan yang mampu mengumpulkan data pengguna dan memonitor aktivitas perangkat secara diam-diam.

Di sisi lain, laporan dari Flashpoint juga menyebut bahwa Iran melalui Korps Garda Revolusi Islam (IRGC) melakukan serangan siber terhadap sektor energi dan infrastruktur digital di Timur Tengah. Target yang disebutkan dalam laporan tersebut termasuk fasilitas milik Saudi Aramco serta sebuah pusat data milik Amazon Web Services di Uni Emirat Arab. Serangan tersebut disebut bertujuan memberikan tekanan ekonomi global sebagai respons terhadap kerugian militer yang dialami Iran.

Perkembangan lain juga datang dari aktor yang dikenal sebagai Cotton Sandstorm, yang sebelumnya menggunakan identitas Haywire Kitten. Kelompok ini dilaporkan menghidupkan kembali persona lamanya yang dikenal sebagai Altoufan Team dan mengklaim telah meretas sejumlah situs web di Bahrain. Peneliti dari Check Point Software Technologies menilai langkah ini menunjukkan sifat kampanye siber yang sangat reaktif terhadap dinamika konflik di kawasan tersebut.

Analisis tambahan dari Nozomi Networks menunjukkan bahwa kelompok peretas yang diduga disponsori negara Iran, yang dikenal sebagai UNC1549 atau juga disebut GalaxyGato, Nimbus Manticore, dan Subtle Snail, merupakan salah satu aktor paling aktif pada paruh kedua tahun 2025. Kelompok ini diketahui menargetkan sektor pertahanan, industri kedirgantaraan, telekomunikasi, serta lembaga pemerintahan regional untuk mendukung kepentingan geopolitik Iran.

Ketegangan geopolitik tersebut juga berdampak pada ekosistem kripto di Iran. Sejumlah bursa kripto besar di negara tersebut tetap beroperasi tetapi mengumumkan penyesuaian operasional, termasuk penangguhan sementara atau penjadwalan ulang penarikan dana serta peringatan risiko bagi pengguna terkait kemungkinan gangguan konektivitas.

Menurut Ari Redbord dari TRM Labs, kondisi tersebut bukan menunjukkan pelarian modal secara besar-besaran, melainkan pasar yang sedang mengelola volatilitas di tengah gangguan konektivitas dan intervensi regulasi.

Perusahaan keamanan Sophos menyatakan bahwa meskipun terjadi lonjakan aktivitas hacktivist, mereka belum melihat peningkatan signifikan dalam tingkat risiko yang lebih luas. Sebagian besar aktivitas yang diamati berasal dari kelompok yang mendukung Iran, seperti Handala Hack dan APT Iran, dengan bentuk serangan berupa DDoS, defacement situs, serta klaim kompromi yang belum diverifikasi terhadap infrastruktur Israel.

Pemerintah Inggris melalui National Cyber Security Centre juga telah memperingatkan organisasi di berbagai sektor untuk meningkatkan kesiapan keamanan siber mereka. Lembaga tersebut menyoroti potensi serangan DDoS, aktivitas phishing, serta kemungkinan penargetan terhadap sistem kontrol industri (ICS).

Sentimen serupa disampaikan oleh para analis di SentinelOne yang menilai bahwa organisasi di Israel, Amerika Serikat, dan negara-negara sekutunya kemungkinan besar akan menghadapi penargetan langsung maupun tidak langsung. Sektor yang dianggap paling berisiko termasuk pemerintahan, infrastruktur kritis, sektor pertahanan, layanan keuangan, institusi akademik, serta media.

Para peneliti menilai bahwa aktor ancaman yang terkait dengan Iran telah lama menunjukkan kecenderungan untuk menggabungkan berbagai jenis operasi siber, mulai dari spionase digital, sabotase infrastruktur, hingga operasi psikologis yang bertujuan memengaruhi persepsi publik. Dalam situasi konflik yang tidak stabil, intensitas operasi semacam ini sering meningkat dan dapat meluas ke target di luar wilayah konflik utama.

Dalam konteks tersebut, organisasi di berbagai sektor disarankan untuk memperkuat pemantauan keamanan secara berkelanjutan, memperbarui intelijen ancaman, serta mengurangi permukaan serangan eksternal. Evaluasi terhadap eksposur aset digital, segmentasi jaringan antara sistem teknologi informasi dan teknologi operasional, serta isolasi perangkat IoT juga dinilai penting untuk mengurangi risiko kompromi.

Perkembangan terbaru ini menunjukkan bahwa konflik geopolitik modern tidak lagi terbatas pada medan perang fisik. Aktivitas hacktivist, operasi siber negara, serta kampanye disrupsi digital kini menjadi bagian integral dari dinamika konflik yang lebih luas, dengan dampak yang dapat menjangkau organisasi dan infrastruktur di berbagai negara.

CISA Masukkan CVE-2026-22719 ke Daftar KEV, Celah Command Injection di VMware Aria Operations Dieksploitasi Aktif

Badan Keamanan Siber dan Infrastruktur Amerika Serikat, Cybersecurity and Infrastructure Security Agency (CISA), pada Selasa mengumumkan penambahan satu kerentanan keamanan terbaru ke dalam katalog Known Exploited Vulnerabilities (KEV). Kerentanan tersebut, CVE-2026-22719, berdampak pada produk Broadcom VMware Aria Operations dan disebut telah mengalami eksploitasi aktif di lapangan. Keputusan ini menandai eskalasi risiko dari sekadar kelemahan teknis menjadi ancaman operasional yang terverifikasi.

CVE-2026-22719 memiliki skor CVSS 8.1 dan diklasifikasikan sebagai kerentanan tingkat tinggi. Secara teknis, celah ini merupakan kasus command injection yang memungkinkan penyerang tidak terautentikasi untuk mengeksekusi perintah arbitrer pada sistem terdampak. Dalam skenario terburuk, eksploitasi dapat berujung pada remote code execution ketika proses migrasi produk dengan bantuan dukungan (support-assisted product migration) sedang berlangsung.

Broadcom, sebagai pemilik VMware, menjelaskan dalam advisori resmi yang dirilis akhir bulan lalu bahwa aktor jahat tanpa kredensial dapat memanfaatkan kelemahan ini untuk menjalankan perintah sistem. Jika kondisi tertentu terpenuhi, termasuk saat migrasi produk berlangsung, eksekusi perintah tersebut dapat meningkat menjadi eksekusi kode jarak jauh di lingkungan VMware Aria Operations. Konteks ini penting karena banyak organisasi mengandalkan Aria Operations untuk pemantauan, manajemen performa, dan visibilitas infrastruktur virtual mereka.

Selain CVE-2026-22719, pembaruan keamanan yang sama juga mengatasi dua kerentanan lain. CVE-2026-22720 diidentifikasi sebagai stored cross-site scripting (XSS), yang berpotensi memungkinkan injeksi skrip berbahaya yang tersimpan dan dieksekusi pada sisi klien. Sementara itu, CVE-2026-22721 merupakan celah privilege escalation yang dapat membuka jalan bagi peningkatan hak akses hingga tingkat administratif. Kombinasi tiga kerentanan ini mencerminkan spektrum risiko yang luas, mulai dari injeksi perintah hingga eskalasi hak istimewa.

Produk yang terdampak mencakup VMware Cloud Foundation dan VMware vSphere Foundation versi 9.x.x.x, yang telah diperbaiki pada rilis 9.0.2.0. VMware Aria Operations versi 8.x juga terdampak dan telah mendapatkan perbaikan pada versi 8.18.6. Organisasi yang menjalankan stack virtualisasi berbasis VMware dalam skala enterprise perlu memastikan versi yang digunakan telah diperbarui sesuai dengan rekomendasi vendor.

Bagi pelanggan yang belum dapat menerapkan patch secara langsung, Broadcom menyediakan langkah mitigasi sementara. Pengguna dapat mengunduh dan menjalankan skrip shell bernama “aria-ops-rce-workaround.sh” sebagai root pada setiap node Aria Operations Virtual Appliance. Pendekatan ini dimaksudkan sebagai kontrol sementara untuk menurunkan risiko eksploitasi hingga pembaruan resmi dapat diterapkan. Namun, seperti praktik umum dalam manajemen kerentanan, mitigasi tidak menggantikan kebutuhan patch permanen.

Hingga saat ini, tidak ada rincian teknis yang dipublikasikan mengenai bagaimana eksploitasi dilakukan di lapangan, siapa aktor di baliknya, maupun skala kampanye serangan tersebut. Ketiadaan detail ini bukan hal yang tidak lazim, terutama ketika eksploitasi masih aktif dan berpotensi meluas. Pengungkapan teknis yang terlalu dini dapat meningkatkan risiko copycat attack atau eksploitasi massal sebelum organisasi sempat memperbarui sistem mereka.

Dalam pembaruan buletinnya, Broadcom menyatakan pihaknya mengetahui adanya laporan potensi eksploitasi CVE-2026-22719 di alam liar, tetapi belum dapat mengonfirmasi secara independen validitas laporan tersebut. Pernyataan ini menegaskan bahwa meskipun ada indikasi aktivitas eksploitasi, verifikasi teknis penuh masih berlangsung. Di sisi lain, langkah CISA memasukkan kerentanan ini ke katalog KEV menunjukkan bahwa otoritas federal menilai risiko yang ada cukup signifikan untuk memicu respons kebijakan.

Katalog Known Exploited Vulnerabilities milik CISA berfungsi sebagai daftar prioritas kerentanan yang telah terbukti dieksploitasi secara aktif. Ketika sebuah CVE masuk ke dalam daftar ini, implikasinya langsung terasa bagi lembaga federal Amerika Serikat. Dalam kasus CVE-2026-22719, lembaga di bawah Federal Civilian Executive Branch (FCEB) diwajibkan menerapkan perbaikan paling lambat 24 Maret 2026. Tenggat waktu ini mencerminkan urgensi mitigasi terhadap potensi ancaman terhadap infrastruktur pemerintah.

Bagi organisasi di luar sektor federal, masuknya sebuah kerentanan ke dalam katalog KEV sering kali menjadi indikator bahwa eksploitasi tidak lagi bersifat teoretis. Bagi tim keamanan, ini berarti penyesuaian prioritas patch management, evaluasi exposure surface, serta peninjauan kontrol deteksi seperti intrusion detection system dan monitoring log pada node Aria Operations. Mengingat sifat command injection yang memungkinkan eksekusi perintah sistem, dampaknya dapat meluas dari kompromi aplikasi hingga pengambilalihan infrastruktur virtual yang lebih luas.

VMware Aria Operations sendiri berperan penting dalam orkestrasi dan observabilitas lingkungan virtual dan cloud hybrid. Kerentanan pada komponen ini berpotensi berdampak pada visibilitas dan stabilitas sistem, terutama jika dieksploitasi selama proses migrasi atau perubahan konfigurasi. Dalam arsitektur enterprise, komponen manajemen sering kali memiliki hak akses tinggi, sehingga risiko privilege escalation dan lateral movement menjadi perhatian tersendiri.

Tanpa detail eksploitasi yang dipublikasikan, sulit menilai vektor serangan yang digunakan atau kompleksitasnya. Namun, fakta bahwa celah ini dapat dieksploitasi oleh aktor tanpa autentikasi memperluas potensi ancaman, terutama jika sistem terpapar ke jaringan yang tidak sepenuhnya tersegmentasi. Dalam praktik keamanan, prinsip least privilege dan isolasi jaringan tetap menjadi kontrol krusial untuk meminimalkan dampak jika terjadi kompromi.

Dengan tenggat waktu resmi dari CISA dan ketersediaan patch dari vendor, fokus kini beralih pada kecepatan respons organisasi. Pengalaman sebelumnya menunjukkan bahwa rentang waktu antara pengungkapan dan eksploitasi massal dapat sangat singkat, khususnya ketika detail teknis mulai tersebar di komunitas keamanan. Oleh karena itu, pembaruan sistem dan verifikasi konfigurasi menjadi langkah defensif yang paling rasional.

Penambahan CVE-2026-22719 ke katalog KEV menegaskan bahwa kerentanan pada komponen manajemen infrastruktur tidak boleh dipandang sebagai isu sekunder. Dalam banyak kasus, kontrol manajemen justru menjadi target bernilai tinggi karena menyediakan jalur akses terpusat ke sumber daya kritis. Bagi praktisi IT dan keamanan, perkembangan ini menjadi pengingat bahwa visibilitas dan manajemen kerentanan harus berjalan beriringan, terutama pada platform virtualisasi dan cloud yang menjadi tulang punggung operasional organisasi modern.

CVE-2026-21513: Zero-Day MSHTML Diduga Dieksploitasi APT28 untuk Bypass Fitur Keamanan Windows

Kerentanan keamanan yang baru-baru ini ditambal oleh Microsoft dilaporkan telah dieksploitasi sebagai zero-day dan diduga berkaitan dengan aktivitas kelompok ancaman siber yang berafiliasi dengan Rusia, APT28. Temuan ini diungkap oleh perusahaan keamanan dan infrastruktur web Akamai Technologies, yang menganalisis artefak berbahaya terkait eksploitasi tersebut.

Kerentanan yang dimaksud adalah CVE-2026-21513 dengan skor CVSS 8.8, dikategorikan sebagai celah tingkat tinggi yang memungkinkan bypass terhadap fitur keamanan pada MSHTML Framework. MSHTML merupakan mesin rendering yang digunakan oleh komponen Windows dan Internet Explorer untuk memproses konten HTML. Dalam advisori resminya, Microsoft menyebut celah ini sebagai kegagalan mekanisme perlindungan yang memungkinkan penyerang tidak sah melewati fitur keamanan melalui jaringan.

CVE-2026-21513 diperbaiki sebagai bagian dari pembaruan Patch Tuesday Februari 2026. Namun, perusahaan tersebut juga mengonfirmasi bahwa kerentanan ini telah dieksploitasi dalam serangan nyata sebelum patch tersedia, menjadikannya zero-day pada saat digunakan oleh pelaku ancaman. Microsoft mengkreditkan pelaporan kerentanan ini kepada Microsoft Threat Intelligence Center, Microsoft Security Response Center, Office Product Group Security Team, serta Google Threat Intelligence Group.

Dalam skenario serangan yang dijelaskan, penyerang dapat memanfaatkan kerentanan ini dengan membujuk korban untuk membuka file HTML berbahaya atau file shortcut Windows berformat LNK yang dikirim melalui tautan atau lampiran email. Ketika file yang telah dirancang tersebut dibuka, mekanisme penanganan browser dan Windows Shell dimanipulasi sedemikian rupa sehingga konten dieksekusi langsung oleh sistem operasi. Proses ini memungkinkan penyerang melewati kontrol keamanan tertentu dan berpotensi mencapai eksekusi kode pada sistem korban.

Meskipun Microsoft tidak merilis detail teknis lengkap mengenai eksploitasi zero-day tersebut, Akamai mengungkap bahwa mereka mengidentifikasi artefak berbahaya yang diunggah ke VirusTotal pada 30 Januari 2026. Artefak itu dikaitkan dengan infrastruktur yang berhubungan dengan APT28. Kelompok ini dikenal luas dalam komunitas intelijen ancaman sebagai aktor yang melakukan operasi spionase siber yang ditargetkan.

Sampel berbahaya tersebut sebelumnya telah ditandai oleh CERT-UA pada awal bulan lalu dalam konteks serangan APT28 yang mengeksploitasi kerentanan berbeda di Microsoft Office, yakni CVE-2026-21509 dengan skor CVSS 7.8. Korelasi ini memperkuat dugaan bahwa eksploitasi CVE-2026-21513 merupakan bagian dari rangkaian kampanye yang lebih luas.

Analisis teknis Akamai menunjukkan bahwa akar masalah CVE-2026-21513 terletak pada logika di dalam file “ieframe.dll” yang menangani navigasi hyperlink. Kerentanan muncul akibat kurangnya validasi terhadap URL target, sehingga input yang dikendalikan penyerang dapat mencapai jalur kode yang memanggil fungsi ShellExecuteExW. Fungsi ini bertanggung jawab untuk menjalankan sumber daya lokal atau jarak jauh melalui Windows Shell. Akibatnya, sumber daya dapat dieksekusi di luar konteks keamanan browser yang seharusnya membatasi tindakan tersebut.

Peneliti keamanan Maor Dahan menjelaskan bahwa muatan serangan melibatkan file Windows Shortcut (LNK) yang dirancang secara khusus. File tersebut menyematkan file HTML tepat setelah struktur standar LNK. Ketika dijalankan, file shortcut tersebut memulai komunikasi dengan domain wellnesscaremed[.]com, yang menurut atribusi Akamai terkait dengan APT28 dan digunakan secara luas dalam kampanye multi-tahap mereka. Teknik ini memanfaatkan nested iframe dan berbagai konteks DOM untuk memanipulasi batas kepercayaan antara komponen yang berbeda.

Eksploitasi tersebut memungkinkan penyerang melewati Mark-of-the-Web, mekanisme yang biasanya menandai file yang berasal dari internet untuk membatasi eksekusinya. Selain itu, teknik ini juga dapat menghindari Internet Explorer Enhanced Security Configuration, yang dirancang untuk memperketat kebijakan keamanan pada sistem tertentu. Dengan melewati kedua mekanisme ini, konteks keamanan dapat diturunkan sehingga kode berbahaya dieksekusi di luar sandbox browser melalui ShellExecuteExW.

Implikasinya signifikan. Dengan mengalihkan eksekusi ke luar konteks browser, penyerang berpotensi menjalankan kode dengan hak akses yang lebih luas dibandingkan jika tetap berada dalam sandbox. Bagi organisasi dan praktisi keamanan, ini menunjukkan bahwa batas antara komponen web dan sistem operasi dapat menjadi titik lemah ketika validasi input tidak diterapkan secara ketat pada level framework.

Akamai menekankan bahwa meskipun kampanye yang diamati menggunakan file LNK berbahaya sebagai vektor pengiriman, jalur kode rentan dapat dipicu melalui komponen apa pun yang menyematkan MSHTML. Artinya, mekanisme distribusi lain di luar phishing berbasis LNK sangat mungkin terjadi. Komponen aplikasi yang memanfaatkan MSHTML untuk merender konten HTML berpotensi menjadi permukaan serangan alternatif apabila tidak diperbarui.

Kasus CVE-2026-21513 memperlihatkan bagaimana kerentanan pada komponen fundamental Windows dapat dimanfaatkan untuk mengikis lapisan perlindungan yang dirancang untuk memisahkan konten tidak tepercaya dari sistem inti. Bagi komunitas keamanan siber, insiden ini menggarisbawahi pentingnya pembaruan rutin, validasi input yang ketat pada level framework, serta pemantauan aktivitas yang melibatkan file shortcut dan eksekusi Shell.

Bagi pengguna dan organisasi, penerapan patch Februari 2026 menjadi langkah mitigasi utama. Mengingat sifat zero-day dari eksploitasi ini, respons cepat terhadap pembaruan keamanan menjadi faktor krusial untuk mengurangi risiko. Dalam konteks ancaman yang melibatkan aktor negara seperti APT28, celah dengan tingkat keparahan tinggi seperti CVE-2026-21513 menunjukkan bahwa teknik bypass fitur keamanan tetap menjadi taktik efektif untuk mendapatkan pijakan awal dalam serangan yang lebih luas.

CVE-2026-0628: Celah Google Chrome pada Panel Gemini Live Bisa Buka Akses Kamera dan File Lokal

Para peneliti keamanan siber mengungkap detail kerentanan yang kini telah ditambal pada peramban Google Chrome. Celah tersebut, yang diberi kode CVE-2026-0628 dengan skor CVSS 8.8, berpotensi memungkinkan penyerang melakukan eskalasi hak akses dan memperoleh akses ke file lokal pada sistem korban. Masalah ini berakar pada lemahnya penerapan kebijakan keamanan pada komponen WebView tag di Chrome, sebuah isu yang memperlihatkan bagaimana integrasi fitur baru dalam browser modern dapat membuka permukaan serangan yang tidak terduga.

Kerentanan ini telah diperbaiki oleh Google pada awal Januari 2026 melalui pembaruan ke versi 143.0.7499.192/.193 untuk Windows dan macOS, serta 143.0.7499.192 untuk Linux. Sebelum versi tersebut dirilis, pengguna yang berhasil diyakinkan untuk memasang ekstensi berbahaya berisiko mengalami penyalahgunaan hak akses di dalam browser mereka. Berdasarkan deskripsi resmi di National Institute of Standards and Technology melalui National Vulnerability Database, celah ini memungkinkan penyerang menyuntikkan skrip atau HTML ke halaman dengan hak istimewa melalui ekstensi Chrome yang dirancang khusus.

Kerentanan tersebut pertama kali ditemukan dan dilaporkan pada 23 November 2025 oleh Gal Weizman, peneliti dari Palo Alto Networks Unit 42. Menurut Weizman, masalah ini dapat dimanfaatkan oleh ekstensi dengan izin dasar untuk mengambil alih panel baru bernama Gemini Live di Chrome. Panel ini terintegrasi langsung di dalam browser dan dapat diakses melalui ikon Gemini di bagian atas jendela. Google menambahkan integrasi Gemini ke Chrome pada September 2025 sebagai bagian dari strategi menghadirkan kapabilitas kecerdasan buatan langsung ke dalam pengalaman browsing.

Secara teknis, kelemahan tersebut memungkinkan ekstensi berbahaya menyuntikkan kode JavaScript arbitrer ke dalam panel Gemini. Dalam skenario serangan, penyerang cukup membuat korban memasang ekstensi yang tampak sah. Setelah terpasang, ekstensi itu dapat memanfaatkan API declarativeNetRequest untuk memodifikasi permintaan dan respons HTTPS, lalu menyisipkan kode ke dalam konteks panel Gemini yang memiliki hak akses lebih tinggi dibandingkan halaman web biasa.

API declarativeNetRequest sendiri dirancang untuk memungkinkan ekstensi mencegat dan mengubah properti permintaan jaringan, dan umumnya digunakan oleh ekstensi pemblokir iklan. Namun dalam kasus CVE-2026-0628, kombinasi izin dasar dengan kelemahan penerapan kebijakan pada WebView membuka jalur tak terduga. Ketika aplikasi Gemini dimuat dalam panel samping tersebut, Chrome mengaitkannya dengan kemampuan yang kuat agar asisten AI dapat menjalankan fungsinya, termasuk interaksi dengan sistem file, akses kamera dan mikrofon, serta pengambilan tangkapan layar.

Di sinilah eskalasi hak akses menjadi nyata. Ekstensi yang seharusnya dibatasi oleh model izin yang ketat dapat mengeksekusi kode di domain “gemini.google[.]com/app” melalui panel internal browser. Dengan demikian, penyerang berpotensi memperoleh akses ke data sensitif, menyalakan kamera atau mikrofon tanpa izin eksplisit pengguna, hingga mengambil tangkapan layar dari situs apa pun yang sedang dibuka. Bagi praktisi keamanan, ini merupakan pelanggaran serius terhadap model keamanan berbasis sandbox dan permission isolation yang selama ini menjadi fondasi arsitektur browser modern.

Temuan ini juga menyoroti vektor serangan baru yang muncul seiring integrasi kemampuan AI dan agentic features langsung ke dalam browser. Fitur seperti peringkasan konten secara real-time, penerjemahan otomatis, dan eksekusi tugas multi-langkah mengharuskan agen AI memiliki akses istimewa ke lingkungan browsing. Tanpa kontrol kebijakan yang ketat, akses tersebut menjadi pedang bermata dua. Halaman web berbahaya dapat menyematkan prompt tersembunyi yang menginstruksikan asisten AI untuk melakukan tindakan yang seharusnya diblokir oleh mekanisme keamanan browser.

Dalam skenario yang lebih kompleks, prompt tersebut bahkan dapat memanipulasi agen agar menyimpan instruksi di memori, sehingga bertahan lintas sesi. Konsep ini memperluas permukaan serangan dari sekadar eksploitasi berbasis skrip menjadi manipulasi logika agen AI. Bagi komunitas keamanan, ini bukan sekadar isu teknis, tetapi juga tantangan desain arsitektur. Integrasi komponen berhak istimewa di dalam konteks browser berisiko menciptakan celah logika, kelemahan implementasi, serta membuka kembali risiko klasik seperti cross-site scripting, privilege escalation, dan serangan side-channel.

Weizman menekankan bahwa perbedaan antara perilaku yang dirancang dan cacat keamanan terletak pada konteks komponen yang dimanipulasi. Ekstensi yang memengaruhi halaman web adalah perilaku yang telah diantisipasi dalam model keamanan Chrome. Namun ketika ekstensi memengaruhi komponen internal yang “dipanggang” langsung ke dalam browser dengan hak istimewa tinggi, risikonya meningkat secara signifikan. Perbedaan konteks tersebut menjadi garis tipis antara desain yang sah dan kerentanan kritis.

Kasus CVE-2026-0628 memperlihatkan bahwa model keamanan berbasis izin pada ekstensi dapat tergerus apabila komponen internal browser tidak menerapkan pembatasan kebijakan secara ketat. Bagi pengembang browser, integrasi AI tidak hanya menuntut inovasi fitur, tetapi juga audit keamanan yang mendalam pada setiap jalur interaksi antara ekstensi, halaman web, dan komponen privileged. Bagi pengguna, pembaruan ke versi terbaru menjadi langkah mitigasi utama, mengingat eksploitasi hanya memerlukan rekayasa sosial sederhana untuk mendorong instalasi ekstensi berbahaya.

Dengan semakin dalamnya integrasi kecerdasan buatan ke dalam infrastruktur perangkat lunak inti seperti browser, batas antara fitur produktivitas dan risiko keamanan menjadi semakin tipis. Kerentanan yang telah ditambal ini menjadi pengingat bahwa setiap perluasan kemampuan harus diimbangi dengan penguatan kontrol kebijakan, isolasi konteks, dan validasi input yang ketat. Bagi komunitas teknologi dan keamanan siber, CVE-2026-0628 bukan hanya soal satu bug, melainkan gambaran awal tantangan keamanan pada era browser berbasis AI yang semakin kompleks.

Baca Juga: Ribuan Google Cloud API Key Bocor Bisa Digunakan untuk Akses Gemini AI dan Menimbulkan Tagihan Besar 

Mengapa Cyber Insurance Kini Bergantung pada Identity Security dan MFA, Bukan Sekadar Firewall

Perusahaan asuransi siber dan regulator kini semakin berfokus pada keamanan identitas digital sebagai indikator utama dalam menilai risiko keamanan organisasi. Perubahan ini terjadi seiring meningkatnya jumlah serangan siber yang memanfaatkan akun karyawan yang telah dikompromikan. Data terbaru menunjukkan bahwa satu dari tiga serangan siber kini melibatkan kredensial pengguna yang berhasil dicuri atau disalahgunakan, menjadikan identity security sebagai salah satu faktor paling kritis dalam evaluasi risiko dan penentuan premi cyber insurance.

Perubahan ini mencerminkan realitas operasional di mana akun pengguna, bukan kerentanan perangkat lunak, sering menjadi titik masuk utama bagi penyerang. Setelah mendapatkan akses ke satu akun, penyerang dapat bergerak secara lateral, meningkatkan hak akses, dan mempertahankan keberadaan mereka dalam jaringan tanpa terdeteksi. Bagi perusahaan asuransi, kemampuan organisasi untuk mencegah atau membatasi dampak kompromi akun menjadi indikator langsung dari potensi kerugian finansial yang mungkin timbul akibat insiden keamanan.

Pentingnya keamanan identitas dalam penilaian cyber insurance juga dipicu oleh meningkatnya biaya pelanggaran data secara global. Pada tahun 2025, rata-rata biaya pelanggaran data mencapai $4,4 juta, mendorong lebih banyak organisasi untuk mencari perlindungan finansial melalui cyber insurance. Di Inggris, tingkat adopsi cyber insurance meningkat dari 37 persen pada tahun 2023 menjadi 45 persen pada tahun 2025. Namun, peningkatan klaim yang diajukan juga memaksa perusahaan asuransi untuk memperketat standar underwriting mereka, dengan fokus khusus pada kontrol keamanan identitas.

Dalam konteks ini, identity posture atau postur keamanan identitas organisasi menjadi parameter utama. Identity posture mencakup berbagai aspek, termasuk praktik pengelolaan password, implementasi multi-factor authentication (MFA), serta pengelolaan akun dengan hak akses tinggi atau privileged accounts. Faktor-faktor ini membantu menentukan seberapa mudah penyerang dapat meningkatkan hak akses setelah mendapatkan kredensial awal.

Salah satu aspek penting yang mendapat perhatian khusus adalah password hygiene. Meskipun banyak organisasi mulai mengadopsi MFA dan metode autentikasi tanpa password, password tetap menjadi komponen inti dalam sistem autentikasi modern. Praktik seperti penggunaan ulang password di berbagai akun meningkatkan risiko secara signifikan. Jika satu password berhasil dicuri, penyerang dapat mencoba menggunakannya di berbagai sistem lain untuk memperluas akses mereka.

Masalah lain yang sering ditemukan adalah keberadaan akun lama yang tidak lagi digunakan tetapi masih aktif. Akun dormant ini sering luput dari pengawasan, namun tetap memiliki kredensial valid dan hak akses tertentu. Bagi penyerang, akun semacam ini merupakan titik masuk ideal karena kecil kemungkinan aktivitasnya terdeteksi. Demikian pula, service account dengan password yang tidak pernah kedaluwarsa menciptakan jalur akses jangka panjang yang sulit dilacak.

Selain itu, penggunaan kredensial administratif yang dibagikan di antara beberapa pengguna juga meningkatkan risiko. Praktik ini mengurangi akuntabilitas dan membuat investigasi insiden menjadi lebih sulit. Dari perspektif asuransi, organisasi yang tidak dapat menunjukkan kontrol ketat terhadap kredensial administratif dianggap memiliki risiko lebih tinggi.

Pengelolaan privileged access juga menjadi indikator penting dalam penilaian risiko. Akun dengan hak administratif memiliki kemampuan untuk mengakses sistem kritis, mengubah konfigurasi, dan membaca data sensitif. Jika akun semacam ini dikompromikan, dampaknya dapat meluas dengan cepat ke seluruh infrastruktur organisasi. Oleh karena itu, perusahaan asuransi mengevaluasi bagaimana organisasi mengontrol dan memantau akun privileged, termasuk administrator domain, administrator cloud, dan service account dengan hak akses tinggi.

Masalah umum yang sering ditemukan adalah pemberian hak akses administratif permanen yang tidak diperlukan. Hak akses yang berlebihan memperbesar kemungkinan privilege escalation, di mana penyerang dapat memperoleh kontrol penuh atas sistem hanya dengan mengompromikan satu akun. Dari perspektif underwriting, risiko meningkat secara signifikan jika satu akun yang dikompromikan dapat dengan cepat memperoleh hak administrator tanpa hambatan tambahan.

Implementasi multi-factor authentication juga menjadi faktor penentu dalam evaluasi cyber insurance. MFA menambahkan lapisan keamanan tambahan dengan mengharuskan pengguna memberikan bukti autentikasi tambahan selain password. Namun, efektivitas MFA bergantung pada konsistensi implementasinya. Banyak organisasi mengklaim telah mengimplementasikan MFA, tetapi tidak menerapkannya secara menyeluruh pada semua sistem kritis.

Kasus nyata yang mencerminkan pentingnya MFA terjadi pada City of Hamilton, yang dilaporkan tidak menerima klaim cyber insurance sebesar $18 juta setelah serangan ransomware karena MFA tidak diterapkan secara penuh pada sistem yang terdampak. Insiden ini menunjukkan bahwa keberadaan MFA saja tidak cukup; implementasi harus mencakup semua sistem penting, termasuk akses jarak jauh, email, dan akun administratif.

Meskipun MFA bukan solusi sempurna, mekanisme ini secara signifikan meningkatkan tingkat kesulitan bagi penyerang. Serangan seperti MFA fatigue tetap memerlukan kredensial valid sebagai langkah awal, dan keberhasilan serangan tersebut bergantung pada kesalahan pengguna dalam menyetujui permintaan autentikasi yang mencurigakan. Tanpa kredensial awal, serangan semacam ini tidak dapat dilakukan.

Perusahaan asuransi kini secara khusus mencari bukti bahwa MFA diterapkan pada semua akun dengan hak akses tinggi dan sistem kritis. Organisasi yang gagal memenuhi standar ini sering menghadapi premi yang lebih tinggi atau pembatasan cakupan asuransi. Hal ini mencerminkan pergeseran dalam pendekatan manajemen risiko, di mana kontrol identitas dianggap sebagai garis pertahanan utama.

Selain MFA dan password hygiene, perusahaan asuransi juga menilai praktik audit akses secara berkala. Audit ini membantu memastikan bahwa hak akses pengguna sesuai dengan peran mereka saat ini. Akses yang tidak lagi relevan, seperti hak administratif yang diberikan kepada karyawan yang telah berpindah peran, meningkatkan risiko keamanan.

Perubahan dalam pendekatan underwriting ini menunjukkan bahwa keamanan identitas bukan lagi sekadar masalah teknis, tetapi juga faktor finansial. Kemampuan organisasi untuk menunjukkan kontrol identitas yang kuat dapat secara langsung mempengaruhi premi cyber insurance yang mereka bayar. Organisasi dengan kontrol identitas yang matang cenderung dianggap memiliki risiko lebih rendah, yang dapat menghasilkan premi yang lebih rendah dan cakupan yang lebih luas.

Bagi organisasi, implikasinya jelas. Keamanan identitas kini menjadi komponen inti dalam strategi manajemen risiko. Pengelolaan kredensial, implementasi MFA yang komprehensif, dan kontrol ketat terhadap akun privileged tidak hanya melindungi sistem dari serangan, tetapi juga mempengaruhi bagaimana risiko organisasi dinilai oleh pihak eksternal.

Perubahan ini juga mencerminkan evolusi lanskap ancaman siber. Penyerang semakin fokus pada eksploitasi identitas karena metode ini sering lebih efektif daripada mengeksploitasi kerentanan teknis. Dengan menggunakan kredensial yang valid, penyerang dapat menghindari banyak mekanisme deteksi tradisional.

Sebagai respons, perusahaan asuransi menyesuaikan model risiko mereka untuk mencerminkan realitas ini. Alih-alih hanya mengevaluasi kontrol keamanan jaringan tradisional, mereka kini memprioritaskan keamanan identitas sebagai indikator utama ketahanan organisasi terhadap serangan siber.

Bagi organisasi yang ingin mengurangi risiko dan mendapatkan perlindungan asuransi yang optimal, fokus pada keamanan identitas menjadi semakin penting. Praktik seperti rotasi password secara berkala, pembatasan hak akses administratif, dan implementasi MFA secara menyeluruh bukan lagi sekadar rekomendasi keamanan, tetapi telah menjadi persyaratan operasional yang mempengaruhi stabilitas finansial organisasi.

Perkembangan ini menandai pergeseran fundamental dalam cara risiko keamanan siber dinilai dan dikelola. Identity security kini berada di pusat strategi keamanan modern, bukan hanya sebagai mekanisme perlindungan teknis, tetapi sebagai faktor utama dalam menentukan bagaimana organisasi dilihat oleh perusahaan asuransi dan regulator.

Ribuan Google Cloud API Key Bocor Bisa Digunakan untuk Akses Gemini AI dan Menimbulkan Tagihan Besar

Penelitian terbaru mengungkap risiko serius dalam penggunaan Google Cloud API key yang sebelumnya dianggap aman untuk dibagikan secara publik. Kunci API ini, yang awalnya dirancang sebagai identifier proyek untuk keperluan billing dan integrasi layanan dasar, ternyata dapat digunakan untuk mengakses endpoint sensitif milik Gemini, platform kecerdasan buatan milik Google. Temuan ini menunjukkan bahwa perubahan dalam cara API berinteraksi dengan layanan AI dapat secara tidak langsung memperluas permukaan serangan dan membuka potensi penyalahgunaan yang signifikan.

Penemuan ini berasal dari penelitian yang dilakukan oleh Truffle Security, yang mengidentifikasi hampir 3.000 Google API key aktif yang tertanam dalam kode sisi klien, terutama pada JavaScript yang digunakan oleh situs web. Kunci API tersebut biasanya memiliki prefix “AIza” dan digunakan untuk layanan seperti Google Maps, analytics, atau integrasi layanan Google lainnya. Karena API key ini sering disematkan langsung dalam kode frontend, siapa pun dapat mengekstraknya dengan relatif mudah hanya dengan memeriksa sumber halaman web.

Masalah muncul ketika API Gemini diaktifkan dalam proyek Google Cloud yang sama. Aktivasi ini secara otomatis memberikan hak akses tambahan kepada semua API key yang terkait dengan proyek tersebut, termasuk kunci yang sebelumnya telah dipublikasikan secara terbuka. Dengan kata lain, API key yang awalnya hanya berfungsi sebagai identifier billing tiba-tiba memperoleh kemampuan autentikasi ke endpoint Gemini tanpa adanya peringatan atau konfigurasi ulang yang eksplisit.

Menurut peneliti keamanan Joe Leon dari Truffle Security, perubahan ini memiliki implikasi yang signifikan. Dengan API key yang valid, penyerang dapat mengakses file yang diunggah, membaca data cache, serta mengirim permintaan ke Gemini API menggunakan kredensial korban. Aktivitas ini tidak hanya membuka kemungkinan akses ke data sensitif, tetapi juga memungkinkan penyerang mengonsumsi kuota komputasi milik korban dan menghasilkan tagihan yang besar.

Endpoint tertentu seperti “/files” dan “/cachedContents” menjadi titik akses potensial bagi penyerang untuk membaca informasi yang tersimpan. Selain itu, karena Gemini merupakan model AI yang memproses permintaan berbasis komputasi intensif, penggunaan API secara tidak sah dapat dengan cepat mengakumulasi biaya yang signifikan. Dalam konteks organisasi yang menggunakan Gemini untuk aplikasi produksi, dampaknya dapat meluas ke gangguan operasional dan risiko finansial yang tidak terduga.

Truffle Security menemukan total 2.863 API key aktif yang dapat diakses secara publik di internet, termasuk satu yang terkait dengan situs milik Google sendiri. Angka ini menunjukkan bahwa masalah ini bukan sekadar kesalahan konfigurasi individu, melainkan fenomena luas yang berkaitan dengan praktik penggunaan API key dalam ekosistem cloud modern.

Temuan ini diperkuat oleh laporan terpisah dari perusahaan keamanan mobile Quokka, yang menemukan lebih dari 35.000 Google API key unik dalam analisis terhadap 250.000 aplikasi Android. Banyak aplikasi tersebut menyimpan API key langsung dalam kode aplikasi, membuatnya mudah diekstrak oleh pihak ketiga. Ketika API key ini memperoleh akses tambahan ke layanan AI seperti Gemini, risiko penyalahgunaan meningkat secara signifikan.

Masalah utama terletak pada konfigurasi default Google Cloud. Ketika pengguna membuat API key baru, pengaturan defaultnya adalah “Unrestricted,” yang berarti kunci tersebut dapat digunakan untuk mengakses semua API yang diaktifkan dalam proyek tersebut. Jika pengembang kemudian mengaktifkan Gemini API, kunci yang sama secara otomatis memperoleh akses ke layanan tersebut, meskipun kunci tersebut sebelumnya telah dibagikan secara publik untuk tujuan lain.

Situasi ini menciptakan kondisi di mana ribuan API key yang awalnya dianggap aman untuk dibagikan kini secara efektif menjadi kredensial Gemini yang valid. Karena API key ini sering tertanam dalam kode frontend atau repository publik, penyerang dapat mengumpulkannya secara massal menggunakan teknik scraping otomatis dan menggunakannya untuk berbagai tujuan, mulai dari konsumsi kuota hingga eksplorasi akses data.

Google telah mengakui temuan ini dan menyatakan telah bekerja sama dengan para peneliti untuk mengatasi masalah tersebut. Dalam pernyataan resminya, perusahaan menyebut telah menerapkan langkah proaktif untuk mendeteksi dan memblokir API key yang bocor dan mencoba mengakses Gemini API secara tidak sah. Langkah ini menunjukkan bahwa Google memperlakukan masalah ini sebagai risiko keamanan yang serius, meskipun pada awalnya perilaku tersebut dianggap sebagai konsekuensi desain yang dimaksudkan.

Hingga saat ini, belum ada konfirmasi resmi mengenai eksploitasi skala besar di dunia nyata. Namun, sebuah laporan pengguna yang dipublikasikan di forum Reddit menunjukkan dampak potensial yang nyata. Pengguna tersebut mengklaim bahwa API key Google Cloud miliknya dicuri dan digunakan untuk menghasilkan tagihan sebesar $82.314,44 hanya dalam dua hari, jauh di atas pengeluaran normalnya yang sekitar $180 per bulan. Kasus ini menggambarkan bagaimana penyalahgunaan API key dapat menghasilkan konsekuensi finansial yang drastis dalam waktu singkat.

Risiko yang muncul tidak terbatas pada biaya finansial. Akses ke endpoint AI seperti Gemini dapat membuka kemungkinan interaksi dengan sistem cloud lain yang terintegrasi dalam proyek yang sama. Bahkan jika data sensitif tidak langsung tersedia, kemampuan untuk mengakses layanan inference AI dan berinteraksi dengan resource cloud dapat memberikan penyerang pijakan awal untuk eksplorasi lebih lanjut.

Masalah ini juga mencerminkan perubahan paradigma dalam keamanan API. Secara historis, API key sering diperlakukan sebagai identifier publik yang relatif aman untuk dibagikan dalam konteks tertentu, selama tidak digunakan untuk autentikasi sensitif. Namun, integrasi AI telah mengubah peran API key dari identifier sederhana menjadi kredensial yang dapat memberikan akses ke sistem dengan kemampuan komputasi dan data yang luas.

Tim Erlin, seorang strategist keamanan dari Wallarm, menjelaskan bahwa risiko API bersifat dinamis dan dapat berubah seiring evolusi layanan. Perubahan dalam kemampuan API, bahkan tanpa adanya kerentanan teknis tradisional, dapat meningkatkan risiko secara signifikan. Oleh karena itu, pendekatan keamanan API harus mencakup pemantauan berkelanjutan terhadap bagaimana kredensial digunakan dan bagaimana hak akses mereka berubah dari waktu ke waktu.

Kasus ini juga menyoroti pentingnya praktik manajemen kredensial yang ketat dalam lingkungan cloud. API key yang telah dipublikasikan sebelumnya harus dianggap berpotensi terekspos, terutama jika proyek tersebut telah diperbarui untuk menggunakan layanan tambahan seperti Gemini. Rotasi API key secara berkala menjadi langkah penting untuk meminimalkan risiko penyalahgunaan.

Selain rotasi, organisasi juga perlu membatasi penggunaan API key hanya pada layanan tertentu dan domain tertentu. Pendekatan ini dapat mengurangi dampak jika kunci tersebut bocor. Dengan membatasi akses hanya pada endpoint tertentu, potensi penyalahgunaan dapat dikurangi secara signifikan.

Perkembangan ini juga menunjukkan bagaimana adopsi AI memperkenalkan kompleksitas baru dalam keamanan cloud. Integrasi AI dengan infrastruktur cloud tradisional menciptakan hubungan baru antara komponen sistem yang sebelumnya terisolasi. Kredensial yang awalnya tidak berbahaya dapat memperoleh kemampuan baru seiring evolusi platform, menciptakan risiko yang sulit diprediksi tanpa audit keamanan yang berkelanjutan.

Bagi pengembang dan organisasi yang menggunakan Google Cloud, temuan ini menjadi pengingat bahwa keamanan tidak hanya bergantung pada konfigurasi awal, tetapi juga pada bagaimana sistem berkembang dari waktu ke waktu. API key yang aman hari ini dapat menjadi risiko di masa depan jika konteks penggunaannya berubah.

Dengan semakin banyaknya layanan AI yang terintegrasi ke dalam platform cloud, praktik keamanan yang proaktif menjadi semakin penting. Audit kredensial, pembatasan akses, dan pemantauan penggunaan API harus menjadi bagian dari strategi keamanan cloud yang berkelanjutan. Temuan ini menunjukkan bahwa bahkan komponen yang tampak sederhana seperti API key dapat menjadi titik masuk kritis jika tidak dikelola dengan hati-hati.